网络工程师实战用H3C设备实现部门网络隔离与互通的全流程解析早上八点十五分咖啡还没喝完工单系统就弹出一条紧急需求电商部和后勤部需要网络隔离但保留特定互通权限电商部主机要求自动获取IP。这种既隔离又互通的需求在企业网络改造中越来越常见——既要保障部门数据安全又要维持必要业务协作。作为网络工程师我们需要在交换机、路由器的配置中找到平衡点。1. 需求拆解与方案设计接到需求后我首先与两个部门的负责人进行了深入沟通。电商部需要访问后勤部的库存管理系统但后勤部不能主动连接电商部服务器所有电商部员工电脑需通过DHCP自动获取IP地址。这种场景下传统的三层交换机方案虽然简单但灵活性不足最终我选择了单臂路由静态路由的组合方案。为什么选择这个方案主要基于三点考虑成本控制中小型企业通常不愿为每个部门单独购置三层交换机策略灵活单臂路由可以基于子接口实现精细化的ACL控制扩展方便未来新增部门时只需在路由器上添加子接口网络拓扑设计如下[电商部PC]--[H3C S5120]--[H3C MSR36-20]--[H3C S5120]--[后勤部PC] | | [DHCP服务器] [库存系统]2. 设备选型与基础配置根据用户数量和流量预估核心设备选用了H3C MSR36-20路由器这款设备支持802.1Q VLAN封装提供足够的子接口处理能力内置DHCP服务功能性价比适合中小型企业接入层选择H3C S5120交换机关键配置包括H3C system-view [H3C] sysname SW_E-Commerce # 电商部交换机命名 [SW_E-Commerce] vlan 10 # 创建电商部VLAN [SW_E-Commerce-vlan10] quit [SW_E-Commerce] vlan 20 # 创建后勤部VLAN [SW_E-Commerce-vlan20] quit实际项目中建议先通过display current-configuration检查设备现有配置避免与已有VLAN冲突。3. VLAN与Trunk配置实战将电商部端口划入VLAN 10后勤部端口划入VLAN 20与路由器连接的端口配置为Trunk# 电商部交换机配置 [SW_E-Commerce] interface gigabitethernet 1/0/1 [SW_E-Commerce-GigabitEthernet1/0/1] port link-type trunk [SW_E-Commerce-GigabitEthernet1/0/1] port trunk permit vlan 10 20 [SW_E-Commerce-GigabitEthernet1/0/1] quit # 连接电商部主机的端口配置 [SW_E-Commerce] interface range gigabitethernet 1/0/2 to gigabitethernet 1/0/24 [SW_E-Commerce-if-range] port link-type access [SW_E-Commerce-if-range] port access vlan 10 [SW_E-Commerce-if-range] quit验证配置是否生效[SW_E-Commerce] display vlan 10 VLAN ID: 10 VLAN type: Static Route interface: Not configured Description: VLAN 0010 Tagged ports: GigabitEthernet1/0/1 Untagged ports: GigabitEthernet1/0/2 to GigabitEthernet1/0/244. 单臂路由实现跨VLAN通信在MSR36-20路由器上配置子接口实现VLAN间路由H3C system-view [H3C] sysname R1 [R1] interface gigabitethernet 0/0.10 # 电商部子接口 [R1-GigabitEthernet0/0.10] vlan-type dot1q vid 10 [R1-GigabitEthernet0/0.10] ip address 192.168.10.1 24 [R1-GigabitEthernet0/0.10] quit [R1] interface gigabitethernet 0/0.20 # 后勤部子接口 [R1-GigabitEthernet0/0.20] vlan-type dot1q vid 20 [R1-GigabitEthernet0/0.20] ip address 192.168.20.1 24 [R1-GigabitEthernet0/0.20] quit配置ACL实现单向访问控制[R1] acl number 2000 [R1-acl-basic-2000] rule permit source 192.168.10.0 0.0.0.255 destination 192.168.20.100 # 允许电商部访问库存系统 [R1-acl-basic-2000] rule deny source any destination any # 默认拒绝其他流量 [R1-acl-basic-2000] quit [R1] interface gigabitethernet 0/0.20 [R1-GigabitEthernet0/0.20] packet-filter inbound acl 2000 # 在后勤部子接口入方向应用ACL5. DHCP服务配置与验证为电商部配置DHCP自动分配IP[R1] dhcp enable [R1] dhcp server ip-pool ecommerce [R1-dhcp-pool-ecommerce] network 192.168.10.0 mask 255.255.255.0 [R1-dhcp-pool-ecommerce] gateway-list 192.168.10.1 [R1-dhcp-pool-ecommerce] dns-list 8.8.8.8 [R1-dhcp-pool-ecommerce] expired day 1 [R1-dhcp-pool-ecommerce] quit验证DHCP是否正常工作[R1] display dhcp server ip-in-use all IP address MAC address Lease expiration Type 192.168.10.2 xxxx-xxxx-xxxx May 10 2023 09:00 Auto(C)6. 故障排查实战记录测试时发现电商部无法访问后勤部服务器按照以下步骤排查检查物理连接[SW_E-Commerce] display interface gigabitethernet 1/0/1 Current state: UP Line protocol state: UP验证VLAN配置[SW_E-Commerce] display vlan 10 Tagged ports: GigabitEthernet1/0/1 # 确认Trunk端口已正确标记VLAN检查路由表[R1] display ip routing-table Destinations : 5 Routes : 5 Destination/Mask Proto Pre Cost NextHop Interface 192.168.10.0/24 Direct 0 0 192.168.10.1 GE0/0.10 192.168.20.0/24 Direct 0 0 192.168.20.1 GE0/0.20最终发现ACL规则顺序错误调整后解决问题[R1] acl number 2000 [R1-acl-basic-2000] rule 5 permit source 192.168.10.0 0.0.0.255 destination 192.168.20.1007. 网络优化与扩展建议项目实施后我总结了几个提升网络可靠性的技巧端口安全防止未授权设备接入[SW_E-Commerce] interface gigabitethernet 1/0/2 [SW_E-Commerce-GigabitEthernet1/0/2] port-security enable [SW_E-Commerce-GigabitEthernet1/0/2] port-security max-mac-num 1QoS保障优先处理电商部订单系统流量[R1] traffic classifier ecommerce [R1-classifier-ecommerce] if-match acl 2000 [R1] traffic behavior ecommerce [R1-behavior-ecommerce] queue ef bandwidth 30% [R1] qos policy ecommerce [R1-qospolicy-ecommerce] classifier ecommerce behavior ecommerce监控配置定期检查设备状态display interface brief # 查看端口状态 display cpu-usage # 检查CPU利用率 display memory-usage # 检查内存使用情况这次项目让我深刻体会到网络工程师的价值不仅在于配置设备更在于理解业务需求并转化为合适的技术方案。当看到电商部同事顺利调取库存数据时那种解决问题的成就感正是这个职业最吸引我的地方。
网络工程师的日常:接到一个‘部门网络隔离与互通’的需求,我是如何用H3C设备一步步搞定的?
网络工程师实战用H3C设备实现部门网络隔离与互通的全流程解析早上八点十五分咖啡还没喝完工单系统就弹出一条紧急需求电商部和后勤部需要网络隔离但保留特定互通权限电商部主机要求自动获取IP。这种既隔离又互通的需求在企业网络改造中越来越常见——既要保障部门数据安全又要维持必要业务协作。作为网络工程师我们需要在交换机、路由器的配置中找到平衡点。1. 需求拆解与方案设计接到需求后我首先与两个部门的负责人进行了深入沟通。电商部需要访问后勤部的库存管理系统但后勤部不能主动连接电商部服务器所有电商部员工电脑需通过DHCP自动获取IP地址。这种场景下传统的三层交换机方案虽然简单但灵活性不足最终我选择了单臂路由静态路由的组合方案。为什么选择这个方案主要基于三点考虑成本控制中小型企业通常不愿为每个部门单独购置三层交换机策略灵活单臂路由可以基于子接口实现精细化的ACL控制扩展方便未来新增部门时只需在路由器上添加子接口网络拓扑设计如下[电商部PC]--[H3C S5120]--[H3C MSR36-20]--[H3C S5120]--[后勤部PC] | | [DHCP服务器] [库存系统]2. 设备选型与基础配置根据用户数量和流量预估核心设备选用了H3C MSR36-20路由器这款设备支持802.1Q VLAN封装提供足够的子接口处理能力内置DHCP服务功能性价比适合中小型企业接入层选择H3C S5120交换机关键配置包括H3C system-view [H3C] sysname SW_E-Commerce # 电商部交换机命名 [SW_E-Commerce] vlan 10 # 创建电商部VLAN [SW_E-Commerce-vlan10] quit [SW_E-Commerce] vlan 20 # 创建后勤部VLAN [SW_E-Commerce-vlan20] quit实际项目中建议先通过display current-configuration检查设备现有配置避免与已有VLAN冲突。3. VLAN与Trunk配置实战将电商部端口划入VLAN 10后勤部端口划入VLAN 20与路由器连接的端口配置为Trunk# 电商部交换机配置 [SW_E-Commerce] interface gigabitethernet 1/0/1 [SW_E-Commerce-GigabitEthernet1/0/1] port link-type trunk [SW_E-Commerce-GigabitEthernet1/0/1] port trunk permit vlan 10 20 [SW_E-Commerce-GigabitEthernet1/0/1] quit # 连接电商部主机的端口配置 [SW_E-Commerce] interface range gigabitethernet 1/0/2 to gigabitethernet 1/0/24 [SW_E-Commerce-if-range] port link-type access [SW_E-Commerce-if-range] port access vlan 10 [SW_E-Commerce-if-range] quit验证配置是否生效[SW_E-Commerce] display vlan 10 VLAN ID: 10 VLAN type: Static Route interface: Not configured Description: VLAN 0010 Tagged ports: GigabitEthernet1/0/1 Untagged ports: GigabitEthernet1/0/2 to GigabitEthernet1/0/244. 单臂路由实现跨VLAN通信在MSR36-20路由器上配置子接口实现VLAN间路由H3C system-view [H3C] sysname R1 [R1] interface gigabitethernet 0/0.10 # 电商部子接口 [R1-GigabitEthernet0/0.10] vlan-type dot1q vid 10 [R1-GigabitEthernet0/0.10] ip address 192.168.10.1 24 [R1-GigabitEthernet0/0.10] quit [R1] interface gigabitethernet 0/0.20 # 后勤部子接口 [R1-GigabitEthernet0/0.20] vlan-type dot1q vid 20 [R1-GigabitEthernet0/0.20] ip address 192.168.20.1 24 [R1-GigabitEthernet0/0.20] quit配置ACL实现单向访问控制[R1] acl number 2000 [R1-acl-basic-2000] rule permit source 192.168.10.0 0.0.0.255 destination 192.168.20.100 # 允许电商部访问库存系统 [R1-acl-basic-2000] rule deny source any destination any # 默认拒绝其他流量 [R1-acl-basic-2000] quit [R1] interface gigabitethernet 0/0.20 [R1-GigabitEthernet0/0.20] packet-filter inbound acl 2000 # 在后勤部子接口入方向应用ACL5. DHCP服务配置与验证为电商部配置DHCP自动分配IP[R1] dhcp enable [R1] dhcp server ip-pool ecommerce [R1-dhcp-pool-ecommerce] network 192.168.10.0 mask 255.255.255.0 [R1-dhcp-pool-ecommerce] gateway-list 192.168.10.1 [R1-dhcp-pool-ecommerce] dns-list 8.8.8.8 [R1-dhcp-pool-ecommerce] expired day 1 [R1-dhcp-pool-ecommerce] quit验证DHCP是否正常工作[R1] display dhcp server ip-in-use all IP address MAC address Lease expiration Type 192.168.10.2 xxxx-xxxx-xxxx May 10 2023 09:00 Auto(C)6. 故障排查实战记录测试时发现电商部无法访问后勤部服务器按照以下步骤排查检查物理连接[SW_E-Commerce] display interface gigabitethernet 1/0/1 Current state: UP Line protocol state: UP验证VLAN配置[SW_E-Commerce] display vlan 10 Tagged ports: GigabitEthernet1/0/1 # 确认Trunk端口已正确标记VLAN检查路由表[R1] display ip routing-table Destinations : 5 Routes : 5 Destination/Mask Proto Pre Cost NextHop Interface 192.168.10.0/24 Direct 0 0 192.168.10.1 GE0/0.10 192.168.20.0/24 Direct 0 0 192.168.20.1 GE0/0.20最终发现ACL规则顺序错误调整后解决问题[R1] acl number 2000 [R1-acl-basic-2000] rule 5 permit source 192.168.10.0 0.0.0.255 destination 192.168.20.1007. 网络优化与扩展建议项目实施后我总结了几个提升网络可靠性的技巧端口安全防止未授权设备接入[SW_E-Commerce] interface gigabitethernet 1/0/2 [SW_E-Commerce-GigabitEthernet1/0/2] port-security enable [SW_E-Commerce-GigabitEthernet1/0/2] port-security max-mac-num 1QoS保障优先处理电商部订单系统流量[R1] traffic classifier ecommerce [R1-classifier-ecommerce] if-match acl 2000 [R1] traffic behavior ecommerce [R1-behavior-ecommerce] queue ef bandwidth 30% [R1] qos policy ecommerce [R1-qospolicy-ecommerce] classifier ecommerce behavior ecommerce监控配置定期检查设备状态display interface brief # 查看端口状态 display cpu-usage # 检查CPU利用率 display memory-usage # 检查内存使用情况这次项目让我深刻体会到网络工程师的价值不仅在于配置设备更在于理解业务需求并转化为合适的技术方案。当看到电商部同事顺利调取库存数据时那种解决问题的成就感正是这个职业最吸引我的地方。
